概要ビデオ

Secrets Managerを設定する際の基本的な手順については、以下のビデオをご参照ください。

前提条件

Keeper Businessライセンス

Secrets ManagerはBusinessアカウントで使用できます。まだKeeperをご利用でない場合は、弊社のウェブサイトから無料トライアルを開始できます。

ワークステーション側の要件:

• Pythonバージョン（3.6以降）をインストールできること

• PIPバージョン21以降（Pythonに含まれる）

• Keeper Commander CLI（ログインできることを確認）

はじめに

まず、いくつかの手順に従って、KeeperアカウントのSecrets Managerを有効にする必要があります。

Secrets Managerの有効化

Keeper Secrets Managerの試用版を有効にするには、管理コンソールにログインし、「Secrets Manager」をクリックします。

ロールの作成

Secrets Managerユーザーが使用するKeeperアカウントのロールを作成します。 管理者アカウントのロールは、管理コンソールで作成できます。

「ロールの追加（Add Role）」をクリックして新しいロールを作成し、「Secrets Managers」のような名前を付けます。

ロールのSecrets Managerを有効化

Keeper Secrets Managerの強制ポリシーで、ロールのアプリケーションアクセスを有効にします。

1. ロールを選択します

2. 強制ポリシーを開きます

3. Keeper Secrets Manager タブを選択します

4. Keeper Secrets Managerポリシーを有効にします

Secrets Managerを設定

この演習では、Keeper Secrets Managerを使用してシークレットにアクセスするために、シークレットの設定、アプリケーションの作成、クライアントの設定を行います。

次に、KeeperボルトまたはKeeper Commanderを使用して、Secrets Managerを設定できます。 以下では、Keeperボルトを使用する手順について説明します。Commander CLIの手順については、このページの下部にある説明をご参照ください。

シークレットの作成

シークレットは、Keeperボルトに記録として保存され、通常はこれらの記録の添付ファイルまたはフィールドとして保存されます。

Secrets Managerのシークレットの詳細

Keeper Webボルトまたはデスクトップアプリのユーザーインターフェースで共有フォルダを作成し、シークレットをそのフォルダに追加します。

**共有フォルダの作成 **

「新規作成（Create New）」をクリックし、「共有フォルダ（Shared Folder）」を選択します

名前を入力し、「作成（Create）」をクリックして、新しい共有フォルダを作成します。

新しい共有フォルダを選択して、「新規作成（Create New）」ボタンをクリックし、「記録（Record）」を選択して、共有フォルダ内に新しい記録を作成します。

Secrets Managerアプリケーションの作成

シークレットは、記録または共有フォルダとしてアプリケーションで共有されます。アプリケーションは、クライアントデバイス、アクセス権限、監査証跡、履歴を管理します。Secrets Managerアプリケーションの詳細

KeeperボルトでSecrets Managerタブに移動すると、Secrets Managerアプリケーションの一覧が表示されます。そこで、「アプリケーションの作成（Create Application）」をクリックします

新しいSecrets Managerアプリケーションの名前を入力します

次に、新しいアプリケーションと共有する共有フォルダを選択します。 アプリケーションがアクセスできるのは、選択したフォルダ内の記録のみです。

アプリケーションにボルトの記録への読み取り専用アクセス権または書き込みアクセス権を付与することもできますし、最初のSecrets ManagerクライアントデバイスをSecrets Managerにアクセスした最初のIPアドレスに固定するか否かも選択できます。（クライアントデバイスの詳細は後述）

「アクセストークンの生成（Generate Access Token）」をクリックしてアプリケーションを作成すると、最初のSecrets Managerクライアントデバイスが自動的に作成されます。

Secrets Managerクライアントデバイスの作成

クライアントデバイスは、アプリケーションに関連付けられたシークレットにアクセスする必要のあるエンドポイントです。これは、物理デバイス、仮想デバイス、またはクラウドベースのデバイスの場合もあります。Secrets Managerクライアントデバイスの詳細

Secrets ManagerアプリケーションがKeeperボルトに作成されると、Secrets Managerクライアントデバイスも作成されます。

クライアントデバイスが作成されると、ワンタイムアクセストークンが生成されて表示されます。 このワンタイムアクセストークンは、このガイドの後半で必要になります。 後で使用するためにトークンをコピーまたはダウンロードしておきます。

クライアントデバイスの追加作成（オプション）

Secrets Managerアプリケーションを作成すると、そのアプリケーションに対してさらにクライアントデバイスを追加で作成できます。

追加のクライアントデバイスとワンタイムアクセストークンを作成する手順については、ドキュメントをご参照ください。

シークレットを表示

次に、Secrets Manager CLIを使用して、Secrets Managerで共有されているKeeperボルトのシークレットを表示します。

Secrets Managerには、各種言語のSDKと、シークレットへのアクセスに使用できる、多くの組み込み済みの統合機能があります。

この例では、Secrets Manager CLIツール（ksm）を使用して、Keeperボルトからシークレットを取得して表示します。

Secrets Manager CLIのインストール

バイナリリリースを使用したインストール

最新のバイナリリリースは、GitHubリポジトリで入手できます。ご利用のオペレーティングシステムに合わせてインストーラーをダウンロードし、クリックしてインストールまたは解凍して使用します。

WindowsまたはmacOSでUIを使用してCLIを起動すると、CLIはシェルモードで実行されます。ksmコマンドは、コマンドラインから引き続き利用できます。

Linuxバイナリは単なる実行可能ファイルなので、PATHの通ったディレクトリに移動する必要があります。

pip3とPython3を使用したKSMのインストール

pip3とPython3を使用してインストールする場合は、以下のコマンドを使用します。

sudo pip3 install --upgrade pip
sudo pip3 install keeper-secrets-manager-cli

pip3がシステムにインストールされていない場合は、Python3をインストールしてください。たとえば、yumを使用する場合は、以下のようになります。

sudo yum install python3

Keeper Secrets Manager CLIをSecrets Managerアプリケーションに接続

上記で取得したワンタイムアクセストークンを使用して、CLIを初期化します。

$ ksm profile init --token PASTE_TOKEN_HERE

シークレットにアクセス

すべてのシークレットの一覧を取得するには、ksm secret listコマンドを使用します。

$ ksm secret list

CLIには、Secrets Managerアプリケーションで共有されるシークレットの一覧が表示されるはずです。

 UID                     Record Type          Title
 ----------------------- -------------------- ---------------
 bf3dg-99-JuhoaeswgtFxg  login                My Secret
 3FXqmP5nFKwju0H8pl0DmQ  databaseCredentials  MySQL Credentials

完了

🎉おめでとうございます。これで基本設定は完了です。

次の手順:

• Secrets Managerチームとお客様のユースケースについて検討する時間を設定します

• SDKを使用したKeeper Secrets Managerとお客様のソフトウェアとの連携について確認します

• Secrets Manager CLIの詳細を確認します

• 統合機能を使用したCI/CDシステムからシークレットへのアクセスについて確認します

ご不明な点がございましたら、sm@keepersecurity.comまでお問い合わせください

Keeper Commander CLIを使用して設定

ご希望に応じて、Keeperボルトの代わりにKeeperのコマンドラインツールCommanderを使用して、Secrets Managerを設定することもできます。 以下の手順に従い、Keeper Commanderを使用してSecrets Managerを設定します。

インストール手順については、Commanderのドキュメントをご参照ください。

ロールのSecrets Managerを有効化

場合によっては、Commanderを使用して、KeeperロールのSecrets Managerを有効にする必要があります。 そのためには、以下のコマンドを使用します。

enterprise-role "Keeper Admin" --enforcement "ALLOW_SECRETS_MANAGER:True"

シークレットの作成

シークレットは、Keeperボルトに記録として保存され、通常はこれらの記録の添付ファイルまたはフィールドとして保存されます。

Secrets Managerのシークレットの詳細

keeper shellと入力してKeeper Commanderを実行し、Keeperメールでログインします。

$ keeper shell
  _  __  
 | |/ /___ ___ _ __  ___ _ _ 
 | ' </ -_) -_) '_ \/ -_) '_|
 |_|\_\___\___| .__/\___|_|
 vXX.X.X      |_|

 password manager & digital vault

Not logged in> login me@company.com

ログイン後:

• シークレットの作成

• 共有フォルダを作成します

• シークレットを共有フォルダに移動します

コマンドの例を以下に示します。

My Vault> add --login admin --pass "46$$62512%Rd1" --url "192.168.1.1" -t "My Secret"
My Vault> mkdir -sf -a "DevOps Secrets"
My Vault> mv "My Secret" "DevOps Secrets"

Secrets Managerアプリケーションの作成

シークレットは、記録または共有フォルダとしてアプリケーションで共有されます。アプリケーションは、クライアントデバイス、アクセス権限、監査証跡、履歴を管理します。

Secrets Managerアプリケーションの詳細

以下の例では、XXXをボルトの共有フォルダのUIDまたはUID記録に置き換えます。

My Vault> secrets-manager app create MyApplication
My Vault> secrets-manager share add --app MyApplication --secret XXX

Secrets Managerクライアントデバイスの作成

クライアントデバイスは、アプリケーションに関連付けられたシークレットにアクセスする必要のあるエンドポイントです。これは、物理デバイス、仮想デバイス、またはクラウドベースのデバイスの場合もあります。

Secrets Managerクライアントデバイスの詳細

デバイスの初期化に使用するワンタイムアクセストークンを生成するクライアントデバイスを作成します。

My Vault> secrets-manager client add --app MyApplication

Successfully generated Client Device
====================================

One-Time Access Token:US:4d8THSdmLZOeqZubMNqKWKcrgh7SyQiAQ9afVI0IL0I
IP Lock:Enabled
Token Expires On:2021-08-26 12:03:23
App Access Expires on:Never

クイックスタートガイドを続行

これ以降は、上記の手順に従い、Secrets Managerを使用してシークレットにアクセスし、このガイドを完了します。